Según ESET, incluso el nuevo Windows 11 con su sistema de seguridad UEFI Secure Boot no está a salvo del kit de arranque "BlackLotus". El bootkit ya está activo en la naturaleza y también se ofrece activamente en los foros de hackers.
Alerta roja para los usuarios de Windows: los investigadores de ESET identificaron un kit de arranque que puede eludir las funciones de seguridad clave de UEFI Secure Boot, un sistema de seguridad en Windows. Incluso un sistema Windows 11 completamente actualizado con Secure Boot activado no representa un problema para el programa malicioso. Según la funcionalidad del kit de arranque y sus características individuales, los expertos del fabricante europeo de seguridad informática suponen que la amenaza conocido como BlackLotus está involucrado. El kit de arranque UEFI se ha vendido por 2022 dólares en foros de hackers desde octubre de 5.000.
También se actualizó Windows 11 no estoy seguro
“Recibimos las primeras pistas de aciertos en nuestra telemetría a fines de 2022. Resultó ser un componente de BlackLotus, un descargador HTTP. Después de un análisis inicial, encontramos que seis instaladores de BlackLotus encontraron patrones de código en las muestras. Esto nos permitió examinar toda la cadena de ejecución y ver que no solo estamos lidiando con malware común”, dice Martin Smolár, el investigador de ESET que dirigió la investigación del bootkit.
Se explota la vulnerabilidad
BlackLotus aprovecha una vulnerabilidad (CVE-2022-21894) que tiene más de un año para eludir UEFI Secure Boot e implantarse permanentemente en la computadora. Esta es la primera explotación conocida de esta vulnerabilidad en la naturaleza. Aunque la vulnerabilidad se solucionó con la actualización de enero de 2022 de Microsoft, su abuso aún es posible. Esto se debe a que los archivos binarios afectados y firmados de forma válida aún no se han agregado a la lista de bloqueo de UEFI. BlackLotus aprovecha esto trayendo sus propias copias de binarios legítimos, pero más vulnerables, al sistema.
Amplio abanico de posibilidades
BlackLotus puede deshabilitar los mecanismos de seguridad del sistema operativo como BitLocker, HVCI y Windows Defender. Una vez instalado, el objetivo principal del malware es instalar un controlador de kernel (que protege contra la eliminación, entre otras cosas) y un descargador HTTP. Este último es responsable de comunicarse con el servidor de comando y control y puede cargar cargas útiles adicionales para el modo de usuario o el modo kernel. Curiosamente, algunos instaladores de BlackLotus no continúan con la instalación del kit de arranque si la máquina comprometida usa configuraciones regionales de Armenia, Bielorrusia, Kazajstán, Moldavia, Rusia o Ucrania.
BlackLotus se ha promocionado y vendido en foros clandestinos desde al menos principios de octubre de 2022. "Tenemos pruebas de que el kit de arranque es genuino y que el anuncio no es una estafa", dice Smolár. "La pequeña cantidad de muestras de BlackLotus que hemos recibido de fuentes públicas y nuestra telemetría nos lleva a sospechar que no muchos piratas informáticos han comenzado a usarlo todavía. Tememos que esto cambie rápidamente si este bootkit llega a manos de grupos de software delictivo. Porque es fácil de distribuir y puede ser propagado por estos grupos a través de botnets, por ejemplo”.
¿Qué es un kit de arranque?
Los bootkits UEFI son amenazas muy poderosas para cualquier computadora. Una vez que obtienen el control total sobre el proceso de arranque del sistema operativo, pueden desactivar varios mecanismos de seguridad del sistema operativo e inyectar sus propios programas maliciosos en modo kernel o de usuario en las primeras etapas del arranque. Como resultado, operan en secreto y con altos privilegios. Hasta la fecha, solo se han descubierto y descrito públicamente unos pocos kits de botas. En comparación con los implantes de firmware, como LoJax, el primer implante de firmware UEFI descubierto por ESET en 2018, los bootkits UEFI pueden perder su sigilo ya que los bootkits residen en una partición de disco duro FAT32 de fácil acceso. Sin embargo, cuando se ejecutan como cargadores de arranque, tienen casi las mismas capacidades sin tener que superar múltiples capas de seguridad que protegen contra implantes de firmware. “El mejor consejo es mantener actualizado el sistema y su solución de seguridad. Esto aumenta la posibilidad de que una amenaza potencial se detenga antes de que se infiltre en el sistema operativo”, concluye Smolár.
¿Qué es UEFI?
UEFI significa "Interfaz de firmware extensible unificada" y describe el firmware de la placa base. Esto, a su vez, forma la interfaz entre el hardware y el software durante el proceso de arranque. Una función esencial de la UEFI es que la computadora pueda iniciarse en Arranque seguro. Esto es para evitar que el malware ingrese al dispositivo. Es por eso que eludir esta función de seguridad es tan peligroso.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.